最新网络安全威胁对金融体系的危害及应对方案.ppt

《最新网络安全威胁对金融体系的危害及应对方案.ppt》由会员分享，可在线阅读，更多相关《最新网络安全威胁对金融体系的危害及应对方案.ppt（97页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、最新网络安全威胁对金融体系的影响及应对方案北京科能腾达信息技术股份有限公司目 录目录当前网络安全现状最新网络安全威胁解析高级逃避技术介绍及其危害CNGate反高级逃避技术介绍金融体系客户案例CNGate公司简介目 录当前网络安全现状每天平均都有新的漏洞被发现每天平均都有新的漏洞被发现当前网络安全现状-漏洞越来越多数据来源：国家信息安全漏洞共享平台数据来源：国家信息安全漏洞共享平台当前网络安全现状-漏洞没有补丁或没有及时打补丁当前网络安全现状-排名前十的关键漏洞没有PATCH厂商IBM漏漏洞洞分分析析小小组组的的报报告告，很很多多系系统统其其实实是是存存在在一一些些漏漏洞洞但但是厂家短时间内没有

2、任何解决方案是厂家短时间内没有任何解决方案IBM-X-Force-Vulnerability-Threats如何解决?安装补丁?Your computer may freeze or restart to a black screen that has a 0 xc0000034 error message after you install Windows 7 Service Pack 12010.04 用用户户更更新新某某厂厂商商的的防防病病毒毒补补丁丁后后出出现现大大量量机机器器被被锁锁住住无无法法登登陆陆现现象象，厂厂商商紧紧急急发发布新的布新的 补补丁。丁。2009.01Confli

3、cker 蠕蠕虫虫病病毒毒爆爆发发受受感感染染的的服服务务器器达达到到几几百百万万台台，因因为为许许多多公公司司的的Windows 服服务务器没有安装早在器没有安装早在 2008年年10月月发发布的布的补补丁丁Administrators do not install patches!Because Important server can crash!We need up to 30 days to install patches for our 113 Servers!(US Air Force)各个厂商提供虚拟补丁VirtualpatchIPS just recognize attack

4、 and close malicious connections for vulnerableservices目 录最新网络安全威胁解析最新网络安全威胁是什么？DataLossDB.org Incidents Over Time来自于全球专业性数据泄漏事件分析网站:http:/datalossdb.org/statistics近几年数据泄露事件统计目 录高级逃避技术介绍及测试什么是“逃避技术”？什么是“高级逃避技术”？“高级逃避技术”是如何实现的？为什么大多数安全产品无法检测并防护“高级逃避技术”？“高级逃避技术”的应对策略及防范建议“高级逃避技术”测试方法高级逃避技术介绍及测试什么是逃避技术

5、？一种通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段利用逃避技术，高级黑客 和 怀有恶意的的网络犯罪分子可以对具有漏洞的系统进行悄无声息的 攻击，破坏目标系统或者获取重要数据信息。目前的安全系统对这些逃避技术束手无策，就像隐形战斗机可在雷达和其它防御系统检测不到的情况下发起攻击。16通常IDS/IPS工作模型会分为3个层次信息资源层（Information Source）分析层(Analysis)响应层(Response)逃避技术的发现1990年逃避攻击技术出现1997-1998年才出现了有真正文字记载的逃避攻击技术，这种技术可以避开网络入侵检测系统的检测参考：Insertio

6、n,Evasion,and Denial of Service:Eluding Network Intrusion Detection-January,1998逃避技术是一种通过伪装和/或修改网络攻击以逃避信息安全系统的检测和阻止的手段。逃避技术最大的危害是可以携带恶意攻击软件和病毒避开信息安全系统的检测进入到信息系统内部。但是安全系统不会存在任何拦截和告警信息。逃避技逃避技术的的发展展历程程字符串混淆字符串混淆 （Obfuscation）碎片碎片 （Fragmentation）协议违规协议违规 （Protocol violations）通通过过伪伪装装和和/或或修修饰饰网网络络攻攻击击以以躲

7、躲避避信信息息安安全全系系统的检测和阻止的手段；统的检测和阻止的手段；利利用用协协议议中中不不常常用用的的属属性性，伪伪装装攻攻击击流流量量躲躲避避安全系统检测。安全系统检测。逃避手段逃避技术混混 淆淆 攻攻 击击 有有 效效 载载 荷荷-Obfuscating attack payload 通过不同编码编译攻击的有效载荷，目标系统能够解码但是IPS/IDS无法解码这些编译过的有效载荷，例如：使用Unicode来编译攻击包，但是IDS/IPS无法识别，可是IIS WEB SERVER 可以解码，遭受攻击字符串混淆MSRPCBig-endianencoding23Overlapping Frag

8、ments数据包分段重叠技术是通过修改数据包的TCP序列号来实现重叠，例如第一个数据包90个字节，第二个数据包序列号是从第80个字节开始的，当目标系统重组TCP流的时候就需要决定如何去处理8个字节重叠。这就需要IPS/IDS能够处理重叠部分的数据包.24TCP Time Wait 打开然后关闭TCP连接，再使用同一协议和端口打开一个新的TCP连接.根据TCPRFC标准,TCPclient重新使用同一端口之前必须等待一段时间如果黑客使用自己的TCP/IP协议集,他可以打开然后关闭TCP连接,然后使用同一个端口快速建立一个新的TCP连接,新的连接会被传统的IPS/IDS放行，这就要求IPS需要能够

9、熟练控制新的连接举例:参考数据包截图Frame3Frame5TCP连接建立,使用29522端口连接445端口Frame6Frame7发送一些自由的字节信息Frame8-Frame10TCP连接关闭,此时目标系统端口进入TIMEWait状态,Frame11-Frame13新的TCP连接使用相同的29522端口连接目标系统，攻击继续执行，有可能不被检测到2526Inserting Traffic at the IDS通过一些手段使IDS/IPS可以看到一些数据包，但是目标系统确没有收到数据包，例如可以修改数据包的TTL，使一部分数据包到达IDS/IPS时候丢弃。从而导致IDS/IPS和目标系统的状

10、态不一致，我们称之为状态同步破坏TCP Urgent Pointer 利用目标系统和IPS/IDS对于TCPUrgentPointer不同的理解。目标系统可以忽略添加的TCPUrgentPointer字节，但是却可以混淆IPS/IDS的检测例如：TCPStream:xffPSMB(P是urgentdata)IPS看到的结果:xffPSMB(不是协议SMB)Windows看到的结果:xffSMB(但是windows忽略urg位)协协议议中中不不常常用用属属性性的的使使用用 例例如如:TCP Urgent Pointer分片逃避技术数据包分片是正常的网络行为，将恶意的数据包分割成多个分片的数据包进

11、行传递就可以欺骗IPS检测，这就需要IPS能够重组数据包检测出恶意攻击包，如果分片加入重叠技术将使重组过程更加复杂，正常的HTTP REQUEST 在会话建立后只是在一个数据包传递逃避技术举例:HTTP Request 3部分8字节的分段数据包 7字节的分段数据包攻击同时也包括1个字节的重叠部分，每一个分段的最后一个字节也是下一个分段第一个字节，由于每一个数据包的序列号是正确的，因此目标系统可以正确的重组数据包，从而会遭到攻击存在4字节的自由字符在数据包头前，这些无效的字符通常会被目标系统丢掉，但是却可以混淆IDS/IPS。普通的逃避在TCP/IP的不同协议栈同时进行加载 组合形成了高级逃避.

12、可穿越多种协议或协议组合,黑客通常是利用高级逃避技术作为高级不间断攻击(APT)的重要部分.高高级逃避技逃避技术的出的出现EthernetVLAN TagsSMB2SMBTCPUDPApplicationMSRPC Application MSRPC Application 高高级级逃避技逃避技术举术举例例 逃避技逃避技术对各厂商各厂商设备检测技技术的影响的影响 HP TippingPoint IPS Palo Alto Networks Firewall Fortinet FortiGate Snort(in-line mode using Security Onion)恶意攻意攻击选择为了

13、能正确的测试逃避技术对不同厂商检测技术的影响，所选择的攻击要能够被所有厂商能够检测到 并且可以进行阻断，我们选择是2008年的Conficker蠕虫病毒攻击针对 Windows 以下弱点CVE-2008-4250MS08-067HP TippingPoint IPS应用简单分片逃避技术总共858bytes简单分成2个分片432bytes和426bytes应用2种组合的逃避技术分片+混淆Wireshark显示攻击成功逃避技术-封装序列号码TCPsequencenumberisa32-bitnumber最大值为4,294,967,295(0XFFFFFFFF)47CISCO ASA4849Deco

14、y trees5051SMBfragmenting5253545556Snort57IPC$share 不是恶意的内容，是用在Windows 远程服务，因此不需要设定阻断策略以下三个策略是标识数据包中的shellcode,利用MS08-067弱点来进行攻击，需要进行阻断58596061asinglebyteof0X00isaddedastheurgentdata.高高级逃避技逃避技术工作在工作在TCP/IPTCP/IP不同层次的逃避技术是可不同层次的逃避技术是可以同时加载的以同时加载的 。利用协议中不常用的属性或者是不遵守利用协议中不常用的属性或者是不遵守协议规范，伪装攻击流量躲避安全系统协议

15、规范，伪装攻击流量躲避安全系统 检测。检测。黑客通常是利用高级逃避技术作为高级黑客通常是利用高级逃避技术作为高级不间断攻击（不间断攻击（APTAPT）的重要部分。）的重要部分。PAIPS：TCPSegment:Segmentsize:20TCPSegmentOverlap:Overlap amount:1CISCOIPS：TCPSegment:Segmentsize:1从这些研究测试得出的结论：不要期望您的安全设备是坚不可摧的不要依赖安全设备的默认策略配置，要充分了解自己的业务系统，订制针对性的策略要使用反逃避的解决方案高级逃避攻击技术的危害金融系统对外业务系统失去保护。金融系统用户数据存在严

16、重的泄露风险。“我们是安全的”这种错觉让金融体系很容易受到攻击。大多数（99%）现有安全设备对高级逃避攻击不能够拦截和告警在高级逃避技术下，系统和数据随时都处于危险状态，而用户却不得而知。1)1)品牌信任用户数据借贷信息行业信誉2)2)合规遵从性敏感信息关键网络架构3)3)业务连续性1)电子银行2)交易平台3)支付平台反高反高级逃避逃避对于金融体系用于金融体系用户安全防安全防护的重要意的重要意义高级逃避技术都可以高级逃避技术都可以 破坏它们破坏它们!目 录CNGate反高级逃避技术介绍为什么99%的安全厂商下一代防火墙下一代入侵防御系统WEB防火墙等产品无法检测并防护AET？传统方式采用垂直检

17、测数据流传统方式采用垂直检测数据流-基于数据包，数据分段的检测基于数据包，数据分段的检测一大部分的逃避技术仅仅基于协议的正常功能，而且这些功能在正常的通信中被广泛的使用着。IP fragmentation TCP segmentationMSRPC fragmentationIP random optionsTCP TIME_WAITTCP urgent pointer一般的，这些逃避不会和任何RFC冲突，这是为什么协议检查也无法发现这些逃避技术。SMB fragmentationMSRPC alter context使用静使用静态态特征特征库进库进行防行防护护的的?-CVE 列出了多余45,

18、000 CVE标识-IPS一般覆盖了 3000 4000 fingerprints.-大多数IPS产品默认仅有 1000 signatures 被检查.(考虑性能原因)-如果只有1%的高级逃避技术被利用-这个数字将是多于100万种！测试测试工具受限工具受限目前有一些工具，集成了一些逃避的技术但是，这些工具是基于不同的漏洞风险的，并不是基于不同的逃避技术的所以，就无法深入的研究高级逃避技术，及无法提供验证防护效率的工具。高级逃避技术隐藏的攻击可以逃避IPS/IDS的检测 Jack Walsh,Program Manager如果你的网络系统不能够发现拦截高级逃避，你将面临巨大损失 Rick Moy

19、,President进来的研究发现 AET是真是存在的而且成爆发时增长。Bob Walder,Research Director高高级逃避技逃避技术被被证实ICSA/NSS/GartnerICSA/NSS/Gartner证明这一系列新型逃避技术确实不能证明这一系列新型逃避技术确实不能被主流被主流IPSIPS设备所检测出来设备所检测出来高高级逃避技逃避技术的特性的特性CybercrimeKillChainvs.DefenseEffectivenessNov,2012Stefan Frei,Ph.D from NSS LAB高高级逃避技逃避技术在在APT攻攻击中被广泛使用中被广泛使用对于对于Ora

20、cle数据库，一个数据库，一个RPC碎片逃避就可以导致碎片逃避就可以导致30多种不同远程攻击多种不同远程攻击高高级逃避技逃避技术的特性的特性高高级逃避的存在促使了下一代逃避的存在促使了下一代IPS出出现 Gartner 制定了描述了下一代制定了描述了下一代IPS的的蓝图 其中一个重要的原因就是其中一个重要的原因就是 高高级逃避逃避了逃避逃避了IPS的的检查Defining Next IPS利用逃避技术和其它新的传递手段高高级逃避技逃避技术的特性的特性“高级逃避技术”已经引起国内安全专家和厂商的重视 国内安全厂商纷纷投入力量进行研发，目前对“普通逃避技术”已经取得了较好的防御效果 国内部分安全产

21、品已经能够防御部分或大部分的“高级逃避技术”的入侵，但是仍存在较大的技术差距 进一步加强对“高级逃避技术”最新威胁的研究，成为国内安全行业的首要课题国内针对高级逃避技术的研究近况CNGateCNGate反“高级逃避技术”防范策略1、安全、安全设备规设备规范要求范要求 安全硬件和安全硬件和软软件系件系统统需要合乎以下需要合乎以下标标准准分分层层的的标标准化准化检测检测基于RFC标准的协议解码是在所有的协议层进行标准化检测合规标准化检查是目前防御逃避攻击的一种最可行的方式具备逃避防护技术就绪的系统取决于它有能力和有效率在所有层面实现合规标准化检查。合规化检查的原理就是利用TCP/IP协议的堆栈，打

22、开堆栈发现异常数据字节然后清洗干净，再根据协议类型编写真正数据流的特征。这就是说,所有协议需要准确解码并进行标准化检查之后根据已经具备的指纹特征准确匹配风险独立的特征匹配独立的特征匹配 指纹识别不需要去担心逃避，因为标准化检测就已经可以对付它们了。动态动态化保化保护护高级逃避技术特征动态升级，需要集中管理平台对设备和特征库统一升级和配置管理安全引擎在每一安全引擎在每一层执层执行完整的行完整的协议栈检测协议栈检测，基于，基于应应用用层层数据流的数据流的检测过检测过程程网网络防御防御分析器EPS-1EPS-2EPS-3 EPS-4EPS业务系统1分布式部署分布式部署将安全防将安全防护护由由“点点”

23、升成升成“面面”业务系统2业务系统4业务系统32、管理要求、管理要求维护维护管理管理定期审计关键资产，关键数据和应用系统是否遭受过入侵（高级逃避技术的出现导致目前的任何系统都是受到威胁的）应该考虑长期的计划和策略来迁移到动态的，可以有效拦截逃避攻击的解决方案，通过集中管理方式快速更新系统的补丁，实现实时监控系统和应用状态，对于不能及时更新补丁的关键资产，要执行风险分析，可以防御逃避/高级逃避技术的动态的解决方案可以作为关键资产系统的虚拟补丁3、取、取证证，事后跟踪，事后跟踪取证，事后跟踪系统取证，事后跟踪系统分析器IPS/IDS感应器IPS/IDS感应器集群IPS/IDS感应器/分析器集中管理

24、中心LogeventsAlerts网络监视总结总结逃避技术/高级逃避技术是一种通过伪装和/或修改网络攻击以逃避安全系统的检测和阻止的手段。逃避技术/高级逃避技术最大的危害是网络犯罪分子可以携带恶意攻击软件和漏洞利用攻击程序避开安全系统的检测入侵到系统内部。但是安全系统不会存在任何拦截和告警信息传统的IPS/IDS只是可以拦截和告警简单的逃避技术，这些简单的逃避技术通常出现在TCP/IP协议栈某一层，是独立的逃避攻击。但是对于应用层的逃避已经跨协议或多种协议组合的高级逃避技术则没有任何办法安全是一个过程安全是一个过程我们相信AET的出现将冲击整个IPS/IDS/NGFW行业测试结果可以证明高级逃

25、避技术是存在的仍然有很多未知的AET需要去发现和研究。目 录金融体系客户案例目 录银行、证券、保险中国银行交通银行中国建设银行浙江分行中国建设银行河南分行中国建设银行陕西分行中国建设银行j江西分行宁夏银行青海银行西安银行廊坊银行莱芜银行大新银行中国建设银行合肥信用卡中心国泰君安证券申银万国证券银河证券东海证券中国人寿保险公司华夏人寿保险公司天安人寿保险公司信达澳银基金管理有限公司北京现代汽车金融有限公司云南乐富支付有限公司英国巴克莱银行上海分行CNGate公司简介 关于我们关于我们2012年年9月成功登月成功登陆”新三板新三板”（中国（中国创业板）板），股票代，股票代码：430148成立于成立

26、于2000年，年，14年年专注于网注于网络安全安全领域域北京（北京（总部），部），产品研品研发中心（北京、深圳）中心（北京、深圳）2014年年7月，迁入位于北京第二金融区的月，迁入位于北京第二金融区的办公新址，公新址，1500平米平米+华北北电力大学力大学50多人的多人的VAG 小小组分支机构：上海、西安、广州、成都、分支机构：上海、西安、广州、成都、郑州、青州、青岛主要主要业务区域：区域：华北、北、东北、北、华东、西北、西南、西北、西南、华南南主要客主要客户：政府、公安、教育、金融、医：政府、公安、教育、金融、医疗、能源、社保、能源、社保/医保、互医保、互联网网业务平台，平台，客客户总数超数

27、超过 4000 家大型和中型机构家大型和中型机构CNGate产品均已品均已获得得政府、政府、军队的的销售售许可可证CNGate全全线产品品进入入中央政府采中央政府采购平台平台CNGate硬件平台硬件平台生生产基地：深圳基地：深圳公司发展历程公司发展历程推出推出CNGate-AG WEB应用安全网关用安全网关 推出推出CNGate-ITM网网络监控管理可控管理可视化系化系统2008-201120142012CNGate-AET-NGIPS下一代高智能入侵防御系下一代高智能入侵防御系统CNGate-NGFW 下一代防火下一代防火墙CNGate-WAF WEB应用防火用防火墙成功登成功登陆新三板新三

28、板 简称：科能称：科能腾达达 代代码：430148专注网注网络安全安全领域，提供网域，提供网络安全解决方案和服安全解决方案和服务2000-20082013推出推出CNGate-BAS运运维管理管理审计系系统推出推出“货架式架式”安全等安全等级保保护解决方案解决方案20002014-2015推出推出“安全管家安全管家”安全服安全服务解决方案解决方案推出推出“网络威胁入侵监测及全网应急响应中心”方案推出推出TES（高（高级逃避技逃避技术测试工具）工具）SIEM 安全事件管理平台安全事件管理平台EPS-反高反高级逃避攻逃避攻击专用用产品品 CNGate 全全线产线产品品CNGate 荣誉CNGate

29、 荣誉 公司优势公司优势CNGate系列安全产品，严格按照国家四部委颁布的信息安全等级保护标准的要求，进行规划和研发“抗抗高高级级逃逃避避技技术术”是是公公司司的的核核心心技技术术，独独有有的的深深度度检检测测技技术术与与世世界界安安全全技术同步，在国内处于领先地位技术同步，在国内处于领先地位下一代的安全引擎，支持弹性部署（物理环境，虚拟环境，云平台）下一代的安全引擎，支持弹性部署（物理环境，虚拟环境，云平台）十四年专注于信息安全行业，积累了一支经验丰富、技术精湛的安全技术服务团队“CNGate安全管家服务”可为客户提供整体网络安全服务能力；严谨适宜的行业客户安全解决方案，个性化的客户安全服务

30、方案，推出面向合作伙伴的“共同成长计划”，共同分享CNGate产品的发展红利CNGate整体安全解决方案数据中心数据中心WEB 应用安全应用安全实时安全状况感知实时安全状况感知CNGate 安全解决方案下一代网络下一代网络全面的恶意软件防护全面的恶意软件防护SMC-安全管理中心业务可视化管理上网行为管理漏洞扫描和管理风险评测网络威胁响应WEB应用防火墙恶意软件WEB应用防火墙主机加固下一代防火墙高级逃避技术防护下一代IPS云保护虚拟机保护应用程序控制主机加固数据库安全CNGate-安全管家服务安全管家服务移动互联网安全移动互联网安全移动支付安全认证中小企业教育政府医疗“安全管家安全管家”服服务内容内容-特色服特色服务安全服务网络安全加固服务-针对高级逃避技术入侵安全设备高级逃避技术（AET）防御能力测试安全设备高级持续性攻击（APT）防御能力测试网络高级入侵威胁与隐患监测服务“安全管家安全管家”服服务内容内容-通用服通用服务安全服务服务器安全防护网络边界安全防护内网区域安全防护服务渗透测试服务WEB 应用安全防护信息安全应急处理服务信息安全风险评估安全运维与安全审计安全培训服务信息安全体系建设规划